Aktor ancaman yang disponsori negara terkait Rusia yang dilacak sebagai Gamaredon telah dikaitkan dengan dua alat spyware Android baru yang disebut Mata-Mata Tulang Dan Gnome Biasamenandai pertama kalinya musuh ditemukan menggunakan kelompok malware khusus seluler dalam kampanye serangannya.
“BoneSpy dan PlainGnome menargetkan negara-negara bekas Soviet dan fokus pada korban berbahasa Rusia,” kata Lookout dalam sebuah analisis. “Baik BoneSpy dan PlainGnome mengumpulkan data seperti pesan SMS, log panggilan, audio panggilan telepon, foto dari kamera perangkat, lokasi perangkat, dan daftar kontak.”
Gamaredon, juga disebut Aqua Blizzard, Armageddon, BlueAlpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530, dan Winterflounder, adalah grup peretas yang berafiliasi dengan Layanan Keamanan Federal (FSB) Rusia.
Pekan lalu, Grup Insikt Recorded Future mengungkapkan penggunaan Cloudflare Tunnels oleh pelaku ancaman sebagai taktik untuk menyembunyikan infrastruktur pementasan yang menampung muatan berbahaya seperti GammaDrop.
BoneSpy diyakini telah beroperasi setidaknya sejak tahun 2021. Sebaliknya, PlainGnome baru muncul awal tahun ini. Sasaran kampanye ini kemungkinan mencakup Uzbekistan, Kazakhstan, Tajikistan, dan Kyrgyzstan berdasarkan kiriman artefak dari VirusTotal. Tidak ada bukti pada tahap ini bahwa malware tersebut digunakan untuk menargetkan Ukraina, yang selama ini menjadi satu-satunya fokus kelompok tersebut.
Pada September 2024 lalu, ESET juga mengungkapkan bahwa Gamaredon gagal menyusup ke sasaran di beberapa negara NATO, yaitu Bulgaria, Latvia, Lituania, dan Polandia pada April 2022 dan Februari 2023.
Lookout berteori bahwa penargetan Uzbekistan, Kazakhstan, Tajikistan, dan Kyrgyzstan “mungkin terkait dengan memburuknya hubungan antara negara-negara ini dan Rusia sejak pecahnya invasi Ukraina.”
Atribusi malware baru ini ke Gamaredon berasal dari ketergantungan pada penyedia DNS dinamis dan tumpang tindih alamat IP yang mengarah ke domain perintah dan kontrol (C2) yang digunakan dalam kampanye seluler dan desktop.
BoneSpy dan PlainGnome memiliki perbedaan penting karena BoneSpy, yang berasal dari spyware DroidWatcher sumber terbuka, merupakan aplikasi mandiri, sedangkan PlainGnome bertindak sebagai dropper untuk muatan pengawasan yang tertanam di dalamnya. PlainGnome juga merupakan malware yang dibuat khusus tetapi mengharuskan korban untuk memberinya izin untuk menginstal aplikasi lain melalui REQUEST_INSTALL_PACKAGES.
Kedua alat pengawasan ini menerapkan berbagai fungsi untuk melacak lokasi, mengumpulkan informasi tentang perangkat yang terinfeksi, dan mengumpulkan pesan SMS, log panggilan, daftar kontak, riwayat browser, rekaman audio, audio sekitar, notifikasi, foto, tangkapan layar, dan penyedia layanan seluler. detail. Mereka juga berusaha mendapatkan akses root.
Mekanisme pasti bagaimana aplikasi yang mengandung malware ini didistribusikan masih belum jelas, namun diduga melibatkan rekayasa sosial yang ditargetkan, menyamar sebagai aplikasi pemantauan daya baterai, aplikasi galeri foto, aplikasi Samsung Knox palsu, dan aplikasi yang berfungsi penuh namun telah di-trojan. aplikasi Telegram.
“Meskipun PlainGnome, yang pertama kali muncul tahun ini, memiliki banyak fungsi yang tumpang tindih dengan BoneSpy, tampaknya ia tidak dikembangkan dari basis kode yang sama,” kata Lookout.
